節(jié)點操作系統(tǒng)中的CVE漏洞可能帶來集群數(shù)據(jù)泄露、服務中斷等問題,對集群的穩(wěn)定性、安全性、合規(guī)性造成威脅。您可以啟用操作系統(tǒng)(OS)CVE漏洞修復功能,掃描節(jié)點上存在的安全漏洞,獲得修復建議與方法,并在控制臺上完成快速修復。
前提條件
本功能是阿里云云安全中心提供的高級功能,使用時需要開通云安全中心的企業(yè)版或以上版本,且保證配額充足。ACK不額外收取費用。具體操作,請參見購買云安全中心、功能特性。
注意事項
CVE的兼容性由云安全中心保證,請自行檢查集群應用與CVE的兼容性。如您在CVE修復過程中發(fā)現(xiàn)問題,您可以隨時暫停或取消修復任務。
如果您的CVE漏洞修復時需要通過重啟節(jié)點來實現(xiàn),當ACK需要重啟節(jié)點時,會在重啟節(jié)點前執(zhí)行本節(jié)點的排水操作。
集群水位:水位不宜過高,需確保有充足的Pod分配空間,用于排水操作。
為保證集群高可用,建議您打開此開關后,通過節(jié)點池擴容功能提前擴容出相應節(jié)點數(shù)。更多信息,請參見擴縮容節(jié)點池。
PDB限制:如果您配置了PDB,請確保集群有足夠的資源用于排水,且Pod的副本數(shù)量滿足PDB規(guī)定的最小可用性(Pod副本數(shù)量>
spec.minAvailable)要求。如果無需該PDB限制,請刪除該PDB規(guī)則。Pod終止:需確保Pod內的容器能夠正常處理TERM(SIGTERM)信號,避免Pod無法在寬限期限(Grace Period)內正常終止,繼而導致排水失敗。
排水最大超時時間:排水最大超時時間為1小時,如超期后排水仍未成功,ACK仍然會繼續(xù)執(zhí)行后續(xù)操作。
CVE修復是分批次進行的。CVE修復任務暫停或者取消后,已經下發(fā)了修復任務的批次會繼續(xù)執(zhí)行直到完成,未下發(fā)的批次會暫停任務下發(fā)或取消任務下發(fā)。
同一時間段內,一個節(jié)點池中僅支持一個CVE漏洞修復任務運行。
如果需要修復ContainerOS操作系統(tǒng)的CVE漏洞,ContainerOS的版本需為3.2及以上。
修改了運維窗口后,已排期的CVE修復運維計劃會被取消,等待下次重新排期。
操作步驟
操作系統(tǒng)CVE漏洞自動修復(推薦)
您可以啟用托管節(jié)點池,使用托管節(jié)點池提供的操作系統(tǒng)CVE漏洞自動修復功能。更多信息,請參見托管節(jié)點池概述。
啟用后,ACK會根據(jù)全局任務規(guī)則排期并執(zhí)行修復計劃。自動修復任務一定會在您設定的運維窗口執(zhí)行(但可能不會在下一個窗口期立即執(zhí)行)。
登錄容器服務管理控制臺,在左側導航欄選擇集群。
在集群列表頁面,單擊目標集群名稱,然后在左側導航欄,選擇。
在目標節(jié)點池列表的操作列,單擊更多 >托管配置,在托管配置頁面,按照頁面提示配置自動修復的漏洞級別,以及必要時是否需要重啟節(jié)點以修復CVE漏洞。
操作系統(tǒng)CVE漏洞手動修復
如果您不想使用CVE漏洞自動修復功能,可通過以下方式手動修復CVE漏洞。
登錄容器服務管理控制臺,在左側導航欄選擇集群。
在集群列表頁面,單擊目標集群名稱,然后在左側導航欄,選擇。
在節(jié)點池列表頁面的操作列,單擊目標節(jié)點池對應的更多>修復 CVE(OS)。
在漏洞列表區(qū)域勾選需要修復的漏洞,在實例列表區(qū)域勾選需要修復的實例,配置批量修復策略,然后單擊開始修復。
批量修復策略配置說明如下:
每批次的最大并行數(shù):節(jié)點池升級過程會根據(jù)設置的最大并行數(shù),依次對節(jié)點進行CVE漏洞修復。每個批次的升級節(jié)點數(shù)依次為1、2、4、8……直至達到最大并行數(shù)。達到最大并行數(shù)后,每個批次都按最大并行數(shù)的節(jié)點進行升級。例如,最大并行數(shù)設置為4,那么第一批升級的節(jié)點個數(shù)為1,第二批升級的節(jié)點個數(shù)為2,第三批升級的節(jié)點個數(shù)為4,以后每批的升級節(jié)點個數(shù)均為4。
DryRun模式:啟用后,ACK會進行模擬修復,并生成相應報告,不會真正修復CVE漏洞。
查看提示信息,單擊確定。
后續(xù)步驟
完成上述操作后,您可以通過單擊暫停、繼續(xù)、取消按鈕控制CVE修復流程。